reCaptchas als Datenschutz-Blackbox

Google reCaptcha datenschutzrechtlich bedenklich

Obwohl sich die meisten Internet-User täglich mit ‚Captchas‘ beschäftigen, ist der Begriff allgemein nicht besonders geläufig. Captchas ermöglichen es Betreibern von Webseiten zu unterscheiden, ob ein Mensch oder eine Maschine die Seite aufruft oder ein Formular ausfüllt, um betrügerische oder absichtlich störende Attacken zu verhindern. Der Einsatz moderner Varianten ist datenschutzrechtlich aber alles andere als unbedenklich.

Ausgeschrieben bedeutet ‚CAPTCHA‘ “completely automated public Turing test to tell computers and humans apart”, also ein vollautomatischer Test um Computer von Menschen zu unterscheiden. So soll unter anderem verhindert werden, dass ein Roboter (Bot) in großem Umfang an Gewinnspielen teilnimmt, Gästebücher überflutet, Umfragen manipuliert oder Kontaktformulare ausfüllt. Captchas dienen somit allein dem Schutz des Webseitenbetreibers und seiner Ressourcen. In der einfachsten Variante muss der Besucher der Webseite einen verzerrten Text erkennen und eintippen. Da mit der Zeit die Bots auch immer schlauer wurden und auch diese Texte erkennen können, sind mittlerweile andere Aufgaben zu lösen. Beispielsweise müssen aus einer Reihe von Fotos diejenigen ausgewählt werden, auf denen Ampeln, Hydranten oder Hausnummern abgebildet sind. Diese Weiterentwicklung nennt sich „reCaptcha“.

Einer der führenden Anbieter solcher Lösungen ist Google. Google hat auch „reCaptcha“ weiterentwickelt und bietet heute unter anderem ‚No Captcha reCaptcha“ an. Hierbei muss der User im ersten Schritt einen Haken bei der Frage „Ich bin kein Roboter“ setzen. Während der User das tut, werden von Google bereits Parameter erfasst, beispielsweise die Verweildauer auf der Webseite, Maus- und Klickgeschwindigkeit, aber auch die IP-Adresse und das bisherige Surfverhalten. So kann es sein, dass allein die Beantwortung der Frage ausreicht, ohne das weitere Aufgaben gelöst werden müssen. Und hier kann für den Webseitenbetreiber ein datenschutzrechtliches Problem entstehen. Warum? Wodurch?

Bei der Bewertung steht die Frage im Fokus, ob Google reCaptcha zur Sicherung einer Webseite notwendig ist und damit ein berechtigtes Interesse des Webseitenbetreibers gemäß Art. 6 Abs. 1 f) der Europäischen Datenschutzgrundverordnung (DSGVO) besteht, das höher einzustufen ist, als das der Webseitenbesucher. Die Nutzung von Analyse-Tools ist zumindest dann nicht zulässig, wenn der Anbieter dieser Tools (in diesem Falle also Google) die Daten für eigene Zwecke weiterverarbeitet. „Die Schwierigkeit liegt darin, dass Google sich ungern in die Karten gucken lässt und keine genaue Auskunft darüber gibt, welche Daten erfasst und wie diese verarbeitet werden“ erklärt der Wuppertaler Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. „Vor allem ist Webseitenbesuchern überhaupt nicht bewusst, dass sie in diesem Moment von Google ausgespäht werden.“ Trotzdem haben gerade die Google-Tools eine sehr hohe Verbreitung. Warum? Weil Sie kostenfrei zur Nutzung angeboten werden.
Eine Lösungsmöglichkeit könnte darin bestehen, die Nutzer beim Besuch der Webseite um ihr Einverständnis zu bitten, wie es auch bei Cookies der Fall ist. Allerdings könnten reCaptchas dann nicht mehr genutzt werden, wenn der User nicht einwilligt.

„Es gibt aber auch datenschutztechnisch weniger bedenkliche Lösungen als reCaptchas“ erläutert Dr. Jörn Voßbein, Datenschutzexperte der UIMC. „So praktisch viele Angebote auch sind, man darf nicht aus dem Blick verlieren, dass Google einen Großteil seiner Einkünfte aus Werbung bezieht.“ Als Lösung können so genannte ‚Honeypots‘ dienen, bei denen die Roboter durch ein für Menschen nicht sichtbares Formularfeld in eine Falle gelockt werden und so eindeutig identifiziert werden können.

In jedem Fall sollten sich Unternehmen, die reCaptchas einsetzen wollen oder es bereits tun, datenschutzrechtlich beraten lassen. „Wir stehen bereit“, sagte Voßbein mit einem Augenzwinkern.